← Zurück zur Startseite

Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Website ensregina.de (Landingpage/Funnel) sowie für die Web-App app.ensregina.de (Dashboard/Kundenbereich). Verantwortlicher im Sinne der DSGVO ist die unter Abschnitt 2 genannte Person.

1. Geltungsbereich

Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten auf:

  • app.ensregina.de — Dashboard, Login, Kundenbereich (Hosting: Vercel)
  • ensregina.de — Landingpage, Funnel, Opt-in- und Danke-Seiten (Hosting: Netlify)

2. Verantwortlicher

Regina Ens

Arminiusstraße 42

07548 Gera, Deutschland

Telefon: 0163 3091859

E-Mail: realrise@ensregina.de

3. Verarbeitung im Dashboard (app.ensregina.de)

3.1 Registrierung und Login (Magic Link)

Für den Zugang zum Dashboard verwenden wir ein passwortloses Verfahren (Magic Link). Dazu gibst du deine E-Mail-Adresse ein; wir senden dir daraufhin einen zeitlich begrenzten Anmeldelink zu. Verarbeitet werden: E-Mail-Adresse, IP-Adresse des Absende-Vorgangs, Zeitpunkt der Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.2 Login über Google (OAuth)

Alternativ kannst du dich mit deinem Google-Konto einloggen. Dabei wirst du an Google weitergeleitet; nach deiner Zustimmung bei Google übermittelt Google an uns: deine Google-E-Mail-Adresse, ggf. deinen Namen und dein Profilbild (sofern bei Google hinterlegt). Diese Daten werden ausschließlich zur Identifikation und für den Dashboard-Zugang verwendet. Die technische Abwicklung erfolgt über unseren Authentifizierungsdienstleister Supabase. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Es gelten zusätzlich die Datenschutzbestimmungen von Google. Google LLC hat seinen Sitz in den USA; eine Übermittlung in die USA kann stattfinden (siehe Abschnitt 9).

3.3 Nutzung des Dashboards

Im Rahmen der regulären Dashboard-Nutzung verarbeiten wir:

  • E-Mail-Adresse als Konto-Identifikator
  • Von dir eingegebene Instagram-Account-Namen (zur Analyse)
  • Von dir gespeicherte Hooks, Captions und KI-Generierungen
  • Dein Profilbild (sofern von dir hochgeladen, gespeichert in Supabase Storage)
  • Deinen Stil-/Persona-Text (sofern von dir eingetragen, im Profil gespeichert)
  • Nutzungsstatistiken (Analysen pro Monat zur Plan-Limit-Prüfung)
  • Plan-Status, Stripe-Kunden-ID, Abo-ID (aus dem Stripe-Webhook)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Gespeicherte API-Keys (Apify und Anthropic)

Für die Nutzung des Dashboards hinterlegst du eigene API-Keys für Apify (Instagram-Scraping) und Anthropic Claude (KI-Generierungen). Diese Keys werden in unserer Datenbank (Supabase) gespeichert.

  • Zweck: ausschließlich die Durchführung der von dir ausgelösten Analysen und KI-Generierungen
  • Zugriff: beschränkt auf dein Nutzerkonto durch Supabase Row-Level-Security; andere Nutzer haben keinen Zugriff
  • Verschlüsselung: die Datenbank ist durch Supabase-seitige Verschlüsselung at-rest geschützt; eine zusätzliche Verschlüsselung auf Feldebene (application-level) ist derzeit nicht implementiert und ist als technische Maßnahme geplant. [Betreiber-Prüfpunkt A]
  • Weitergabe: die Keys werden nicht an Dritte weitergegeben; sie werden ausschließlich genutzt, um im Rahmen deiner Analyse-Anfragen die API der jeweiligen Anbieter (Apify bzw. Anthropic) aufzurufen
  • Löschung: du kannst deine API-Keys jederzeit selbst im Dashboard entfernen; bei Kontolöschung werden sie gelöscht

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Öffentliche Instagram-Profildaten Dritter (Art. 14 DSGVO)

Im Rahmen der Analyse-Funktion werden von dir eingegebene Instagram-Account-Namen verwendet, um öffentlich zugängliche Profilseiten dieser Accounts abzurufen. Diese Daten stammen von öffentlich einsehbaren Instagram-Profilen und werden nicht aus nichtöffentlichen Quellen bezogen.

  • Quelle: öffentlich zugängliche Instagram-Profile (vom Nutzer eingegebene Account-Namen)
  • Datenkategorien: Profilname, Profilbild (öffentlich), Bio, öffentliche Posts/Reels, Captions, öffentlich sichtbare Metriken (Follower-Anzahl, Engagement-Daten soweit öffentlich)
  • Zweck: Content-Recherche, Analyse von Hooks und Inhaltsmustern, Grundlage für KI-Generierungen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erbringung der vertraglich geschuldeten Analyse-Dienstleistung)
  • Keine privaten Daten: es werden ausschließlich öffentlich zugängliche Daten verarbeitet; private Accounts, Direktnachrichten oder nicht-öffentliche Inhalte werden nicht abgerufen
  • Speicherung: analysierte Profildaten werden nur so lange gespeichert, wie du sie aktiv in deinem Account hältst; du kannst sie jederzeit löschen

Personen, deren öffentliche Instagram-Profile im Rahmen deiner Nutzung analysiert werden, können ihr Recht auf Auskunft, Widerspruch oder Löschung gegenüber dem Verantwortlichen (Abschnitt 2) geltend machen.

3.6 Serverlogs (Vercel)

Beim Aufruf der Anwendung verarbeitet unser Hosting-Anbieter Vercel automatisch technische Zugriffsdaten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Browser- und Geräteinformationen, Referrer-URL, angeforderte URL und HTTP-Status-Code. Zweck: sichere Bereitstellung, Fehleranalyse, Missbrauchsprävention, Systembetrieb. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer Serverlogs: Logs werden grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist. Die tatsächliche Speicherdauer bei Vercel ist vom Betreiber im Vercel-Dashboard zu prüfen und hier einzutragen. [Betreiber-Prüfpunkt B]

3.7 Zahlung (Stripe)

Zahlungen werden über Stripe Payments Europe Ltd. abgewickelt. Stripe verarbeitet im Rahmen des Checkout-Vorgangs Zahlungs-, Rechnungs-, Kontakt-, Transaktions- und technische Daten eigenverantwortlich nach seinen eigenen Datenschutzbestimmungen. Von Stripe erhalten und speichern wir: Zahlungs-/Abo-Status, Stripe-Kunden-ID, Abo-ID, gewählten Plan sowie ggf. deinen Namen und deine E-Mail-Adresse zur Zuordnung deines Zugangs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4. Verarbeitung im Funnel (ensregina.de)

4.1 Hosting (Netlify)

Die Landingpage wird über Netlify bereitgestellt. Beim Aufruf verarbeitet Netlify automatisch technische Zugriffsdaten (IP-Adresse, Zeitpunkt, Browser-/Geräteinformationen, Referrer, angeforderte URL). Zweck: Auslieferung der Seite, Sicherheit, Serverlogs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: vom Betreiber bei Netlify zu prüfen. [Betreiber-Prüfpunkt B]

4.2 Meta Pixel / Tracking

Auf ensregina.de ist das Meta-Pixel eingebunden. Dabei kann Meta (Meta Platforms Ireland Ltd.) beim Seitenaufruf Daten über dein Nutzungsverhalten erfassen und für Zwecke des Conversion-Trackings und der personalisierten Werbung verarbeiten. Meta handelt insoweit als eigenständig Verantwortlicher nach seinen eigenen Datenschutzbestimmungen. Das Setzen des Pixels und damit verbundener Cookies und vergleichbarer Technologien ist nicht technisch notwendig.

Hinweis Betreiber: Nicht-notwendige Cookies/Tracking (Meta Pixel) dürfen gemäß § 25 Abs. 1 TDDDG nur nach vorheriger Einwilligung gesetzt werden. Ein Consent-Management-Tool auf ensregina.de ist erforderlich. [Betreiber-Prüfpunkt E]

Rechtsgrundlage (nach Implementierung der Einwilligung): Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Drittlandtransfer in die USA möglich (siehe Abschnitt 9). Datenschutzerklärung Meta: facebook.com/privacy

4.3 Instagram und automatisierte Nachrichten (ManyChat)

Der Funnel kann über Instagram gestartet werden, z. B. durch Kommentare oder Direktnachrichten mit Schlüsselwörtern. Zur automatisierten Beantwortung und Weiterleitung wird ManyChat (ManyChat, Inc.) eingesetzt. Dabei können Instagram-Profilname, Nachrichtentext, Zeitpunkt sowie Interaktionsdaten verarbeitet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation und Interessentenbetreuung). Es gelten zusätzlich die Datenschutzbestimmungen von ManyChat und die Nutzungsbedingungen von Instagram/Meta. [Betreiber-Prüfpunkt H]

4.4 Formulare, Opt-in und Leadmagnet (GoHighLevel)

Für Formulare, Opt-ins und Marketing-Automation setzen wir GoHighLevel (HighLevel Inc.) ein. Trägst du dich in ein Formular ein, verarbeiten wir die angegebenen Daten, um den angeforderten Inhalt bereitzustellen und – sofern du eingewilligt hast – weitere Informationen zu ähnlichen Angeboten zu senden.

  • Datenkategorien: Name, E-Mail-Adresse, ggf. Telefonnummer, Formularangaben, Opt-in-Zeitpunkt, technische Metadaten
  • Rechtsgrundlage E-Mail-Marketing: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Rechtsgrundlage Vertragsanbahnung: Art. 6 Abs. 1 lit. b DSGVO
  • Rechtsgrundlage Sicherheit/Opt-in-Nachweis: Art. 6 Abs. 1 lit. f DSGVO

Hinweis Betreiber: Double-Opt-in-Verfahren bei GoHighLevel bestätigen. [Betreiber-Prüfpunkt G]

4.5 E-Mail-Kommunikation und Widerruf

Eine erteilte Einwilligung in den Erhalt von E-Mail-Kommunikation kannst du jederzeit mit Wirkung für die Zukunft widerrufen — per Abmeldelink in der jeweiligen E-Mail oder formlos an realrise@ensregina.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

5. Rechtsgrundlagen (Übersicht)

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (Account, Login, Dashboard-Bereitstellung, Zahlung)
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (steuer- und handelsrechtliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (technische Sicherheit, Serverlogs, Missbrauchsprävention, Instagram-Drittdaten-Analyse)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (E-Mail-Marketing, nicht-notwendige Cookies/Tracking auf dem Funnel)

6. Eingesetzte Dienstleister

Supabase Inc.Datenbank, Authentifizierung (inkl. OAuth-Vermittlung), Datei-Speicherung (Dashboard)

Sitz: USA (Datenbankregion: EU Frankfurt / AWS eu-central-1)

Datenkategorien: Account-/Profildaten, E-Mail-Adresse, gespeicherte Inhalte, API-Keys, Profilbild

Drittlandtransfer: EU-SCCs; DPF-Status: Betreiber-Prüfpunkt D

Datenschutzerklärung des Anbieters

Google Ireland Ltd. / Google LLCOptionaler Login via Google OAuth

Sitz: Irland / USA

Datenkategorien: E-Mail-Adresse, ggf. Name und Profilbild (Google-Account-Daten)

Drittlandtransfer: EU-U.S. Data Privacy Framework (Google ist zertifiziert)

Datenschutzerklärung des Anbieters

Vercel Inc.Hosting und Auslieferung des Dashboards (app.ensregina.de), Serverlogs

Sitz: USA

Datenkategorien: IP-Adresse, technische Zugriffs- und Log-Daten

Drittlandtransfer: EU-U.S. Data Privacy Framework (Vercel ist zertifiziert)

Datenschutzerklärung des Anbieters

Netlify, Inc.Hosting und Auslieferung des Funnels (ensregina.de), Serverlogs

Sitz: USA

Datenkategorien: IP-Adresse, technische Zugriffs- und Log-Daten

Drittlandtransfer: EU-SCCs; DPF-Status: Betreiber-Prüfpunkt D

Datenschutzerklärung des Anbieters

Stripe Payments Europe Ltd.Zahlungsabwicklung — handelt als eigenständig Verantwortlicher für Zahlungsdaten

Sitz: Irland (Konzern: USA)

Datenkategorien: Zahlungs-, Rechnungs-, Kontakt-, Transaktions- und technische Daten

Drittlandtransfer: EU-U.S. Data Privacy Framework (Stripe ist zertifiziert)

Datenschutzerklärung des Anbieters

Resend Inc.Versand von Anmelde-, System- und Aktivierungs-E-Mails

Sitz: USA

Datenkategorien: E-Mail-Adresse, Inhalt der jeweiligen E-Mail

Drittlandtransfer: EU-SCCs; DPF-Status: Betreiber-Prüfpunkt D

Datenschutzerklärung des Anbieters

GoHighLevel / HighLevel Inc.Formulare, CRM, Opt-in und Marketing-Automation (Funnel)

Sitz: USA

Datenkategorien: Name, E-Mail-Adresse, ggf. Telefonnummer, Formularangaben, Opt-in-Zeitpunkt, technische Metadaten

Drittlandtransfer: EU-SCCs; DPF-Status: Betreiber-Prüfpunkt D

Datenschutzerklärung des Anbieters

ManyChat, Inc.Automatisierte Instagram-Kommunikation und Lead-Weiterleitung (Funnel)

Sitz: USA

Datenkategorien: Instagram-Profilname, Nachrichtentext, Zeitpunkt, Interaktionsdaten

Drittlandtransfer: EU-SCCs; DPF-Status: Betreiber-Prüfpunkt D

Datenschutzerklärung des Anbieters

Meta Platforms Ireland Ltd.Meta Pixel auf ensregina.de (Conversion-Tracking, Werbung) — eigenständig Verantwortlicher

Sitz: Irland / USA

Datenkategorien: IP-Adresse, Browser-Daten, Seitenaufrufe, Conversion-Ereignisse, ggf. Cookies

Drittlandtransfer: EU-U.S. Data Privacy Framework (Meta ist zertifiziert); nur nach Einwilligung

Datenschutzerklärung des Anbieters

Soweit diese Anbieter personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit ihnen Auftragsverarbeitungsverträge nach Art. 28 DSGVO ab. Anbieter, die als eigenständig Verantwortliche agieren (insbesondere Stripe für Zahlungsdaten, Meta für Tracking-Daten, Google für Account-Daten), sind in der obigen Liste entsprechend gekennzeichnet. Der Abschluss und Status der AVVs ist vom Betreiber je Anbieter zu bestätigen. [Betreiber-Prüfpunkt C]

7. Verarbeitung über Apify und Anthropic (BYOK)

Das Dashboard verwendet ein „Bring Your Own Key"-Modell (BYOK): Du hinterlegst eigene API-Keys für Apify und Anthropic in deinen Profil-Einstellungen. Wenn du eine Analyse oder KI-Generierung auslöst, ruft das Dashboard die jeweilige API unter Verwendung deines Keys auf.

Verarbeitungsverantwortlichkeit:

Da die Verarbeitung über deine persönlichen API-Keys und damit über deine eigenen Konten bei Apify bzw. Anthropic erfolgt, findet die Datenverarbeitung technisch im Rahmen dieser Anbieterkonten statt. Regina Ens ist Verantwortliche für die Übermittlung deiner Eingaben und der zu analysierenden Daten an die APIs; Apify und Anthropic verarbeiten diese Daten nach ihren eigenen Datenschutzbestimmungen. Eine pauschale Einstufung als Auftragsverarbeiter nach Art. 28 DSGVO ist nicht in jedem Fall zutreffend.

Welche Daten übermittelt werden:

  • An Apify: von dir eingegebene Instagram-Account-Namen (zur Ausführung des Scraping-Actors); keine Daten aus deinem persönlichen Profil
  • An Anthropic Claude: Analyse-Prompts, öffentliche Instagram-Profildaten (Captions, Bio, Hooks) sowie dein hinterlegter Stiltext, soweit du dies aktiviert hast

Datenschutzhinweise der Anbieter:

8. Cookies und Tracking

Dashboard (app.ensregina.de):

Wir verwenden im Dashboard ausschließlich technisch notwendige Cookies für die Login-Session (Supabase Auth). Wir setzen kein Analytics-Tracking, keine Werbe-Cookies und keine Drittanbieter-Tracker ein (kein Meta Pixel, kein Google Analytics, kein Vercel Analytics).

Funnel (ensregina.de) — eingesetzte Technologien:

AnbieterZweckDatenkategorienRechtsgrundlageDrittland
NetlifyTechnische Bereitstellung, SicherheitIP, Browser-Daten, LogsArt. 6 Abs. 1 lit. f (technisch notwendig)USA
Meta PixelConversion-Tracking, RemarketingIP, Gerätedaten, Seitenaufrufe, Events, _fbp-CookieArt. 6 Abs. 1 lit. a + § 25 Abs. 1 TDDDG (Einwilligung)USA (DPF)
GoHighLevelFormular, CRM, Opt-in, AutomationName, E-Mail, Opt-in-Zeitpunkt, Formularfelder, ggf. Tracking-CookiesArt. 6 Abs. 1 lit. a/b (je nach Zweck); Tracking: EinwilligungUSA
ManyChatInstagram-DM-AutomationInstagram-Profilname, Nachrichtentext, ZeitstempelArt. 6 Abs. 1 lit. f (berechtigtes Interesse)USA

Nicht-notwendige Cookies und vergleichbare Technologien (insbesondere Meta Pixel) dürfen gemäß § 25 Abs. 1 TDDDG nur nach vorheriger, informierter Einwilligung eingesetzt werden. Die Implementierung eines Consent-Banners auf ensregina.de ist ausstehend. [Betreiber-Prüfpunkt E]

9. Drittlandtransfer (USA und andere Drittländer)

Mehrere der von uns eingesetzten Dienstleister haben ihren Sitz in den USA oder verarbeiten Daten dort. Für Übermittlungen in die USA bestehen folgende Garantien:

  • EU-U.S. Data Privacy Framework (DPF): Für Anbieter, die im DPF zertifiziert sind (u. a. Google, Vercel, Stripe, Meta), besteht ein Angemessenheitsbeschluss der EU-Kommission als Übermittlungsgrundlage. Der aktuelle Zertifizierungsstatus ist unter dataprivacyframework.gov abrufbar und sollte vom Betreiber regelmäßig geprüft werden.
  • EU-Standardvertragsklauseln (SCCs): Soweit kein DPF-Angemessenheitsbeschluss greift, erfolgen Übermittlungen auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Voraussetzung ist ein entsprechender AVV/DPA mit dem Anbieter.

Der konkrete Zertifizierungs- und AVV-Status je Anbieter ist vom Betreiber zu bestätigen und zu dokumentieren. [Betreiber-Prüfpunkte C und D]

10. Speicherdauer

  • Accountdaten: solange dein Konto besteht; nach Kontolöschung innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Login-/Magic-Link: der Link ist 1 Stunde gültig; die Session bis zum Logout oder Ablauf
  • API-Keys: bis zur Löschung durch dich oder bis zur Kontolöschung
  • Öffentliche Instagram-Profildaten (analysiert): so lange du den Account in deinem Dashboard aktiviert hast; nach Entfernung gelöscht
  • Gespeicherte Hooks/Generierungen: je nach Plan (Starter/Creator: 30 Tage, Creator Pro: unbegrenzt)
  • Lead-/Opt-in-Daten (Funnel): bis zum Widerruf der Einwilligung oder bis zum Ende des verfolgten Zwecks
  • Zahlungs-/Rechnungsdaten: gemäß gesetzlichen Aufbewahrungsfristen (handels-/steuerrechtlich i.d.R. 6–10 Jahre)
  • Serverlogs (Vercel/Netlify): grundsätzlich nur so lange wie für Sicherheit und Fehleranalyse erforderlich; konkrete Fristen sind vom Betreiber bei Vercel und Netlify zu prüfen. [Betreiber-Prüfpunkt B]

11. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung dieser Rechte: realrise@ensregina.de

12. Datensicherheit

Die Datenübertragung zwischen deinem Browser und unserer Anwendung erfolgt verschlüsselt über HTTPS/TLS. Der Zugriff auf deine Daten in der Datenbank ist durch Supabase Row-Level-Security (RLS) streng auf dein Nutzerkonto beschränkt — andere Nutzer können deine Daten nicht einsehen. API-Keys sind durch RLS geschützt; eine zusätzliche Verschlüsselung auf Feldebene ist geplant. [Betreiber-Prüfpunkt A]

13. Zuständige Aufsichtsbehörde

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI), Erfurt.
www.tlfdi.de

14. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um Änderungen unseres Dienstes oder der Rechtslage zu berücksichtigen. Die jeweils aktuelle Version ist auf dieser Seite einsehbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer soweit möglich per E-Mail.

Stand: 29. Juni 2026